智享笔记 WordPress
-
wp站点防止别人进行DDOS攻击
1 简介wp站点防止别人进行DDOS攻击。2 配置位置位置:根目录/wp-config.php3 配置内容在【根目录/wp-config.php】文件的开头添加如下代码:if(strpos($_SERVER['REQUEST_URI'], 'xmlrpc.php') !== false){ $protocol = $_SERVER['SERVER_PROTOCOL'] ?? ''; if(!in_array($protocol, ['HTTP/1.1', 'HTTP/2', 'HTTP/2.0', 'HTTP/3'], true)){ $protocol = 'HTTP/1.0'; } hea
-
利用xmlrpc.php对WordPress进行暴力破解攻击
1 XML-RPC攻击简介WordPress的XML-RPC攻击是指利用WordPress的XML-RPC接口进行恶意操作或者暴力破解的攻击行为。XML-RPC(XML Remote Procedure Call,XML远程过程调用)是一种远程调用协议,允许客户端通过HTTP协议调用远程服务器上的程序或者服务。在WordPress中,XML-RPC接口允许用户通过远程请求执行诸如发布文章、获取文章列表、编辑内容等操作,这些操作可以通过XML格式的数据进行传输。2 XML-RPC攻击类型(1) 暴力破解: 攻击者可以使用自动化脚本通过XML-RPC接口进行暴力破解,尝试猜测有效的用户名和密码组合
-
禁止服务器不断访问别人网站的xmlrpc.php文件
(1) 禁止访问别人网站的80端口的xmlrpc.php文件# 创建一个新的 iptables 链,用于过滤 HTTP 请求iptables -N BLOCK_XMLRPC_HTTP# 在 OUTPUT 链中添加规则,将 HTTP 请求重定向到 BLOCK_XMLRPC_HTTP 链iptables -A OUTPUT -p tcp --dport 80 -m string --string "xmlrpc.php" --algo bm -j BLOCK_XMLRPC_HTTP# 在 BLOCK_XMLRPC_HTTP 链中添加 DROP 规则,阻止匹配的 HTTP 请求iptables -A
-
Wordpress站点robots.txt文件的格式
Wordpress站点robots.txt文件的格式User-agent: *Disallow: /wp-Disallow: /?Disallow: /feed/Disallow: /*/feed/Disallow: /item/*Disallow: /goods/*Disallow: /class/*Disallow: /page/Disallow: /page/*Disallow: /trackback/Disallow: /*/trackback/Disallow: /a-category/*/page/Disallow: /a-tag/*/page/Sitemap: /rss/site
-
Wordpress安全配置-伪静态2
wordpress站点的伪静态:location /{ try_files $uri $uri/ /index.php?$args; if ($host ~* (tpc-002.mach3builders.nl|www.wbtuintotaal.nl|www.offshorerotterdam.com|www.technischbedrijf.nl|www.stage-match.nl)) { return 403; } if ($host ~* (.*\.mach3builders\.nl)) { return 403; }}location ~ ^/css/.*\.php$ { deny
-
Wordpress安全配置-主题
在主题的functions.php文件中进行如下的配置:// 去掉WordPress版本信息remove_action( 'wp_head', 'wp_generator');// 彻底屏蔽 XML-RPCadd_filter('xmlrpc_enabled', '__return_false'); add_filter('xmlrpc_methods', '__return_empty_array');// 禁止RSDremove_action('wp_head', 'rsd_link');// 禁止wlwmanifestremove_action('wp_head', 'wlwmanife
-
Wordpress安全配置-伪静态
1 禁止所有对/xmlrpc.php文件的访问wordpress站点伪静态配置如下:location = /xmlrpc.php { deny all; access_log off; log_not_found off;}2 屏蔽对 /wp-includes/wlwmanifest.xml 文件的访问wordpress站点伪静态配置如下:location = /wp-includes/wlwmanifest.xml { deny all; access_log off; log_not_found off;}3 禁止Git目录的遍历攻击wordpress站点伪静态配置如下:location
-
使用Redis Object Cache插件
步骤1:修改wp-config文件# 在wordpress根目录下的wp-config.php文件的头部,添加如下的配置define('WP_REDIS_PREFIX', 'bitonomi_com');define('WP_CACHE_KEY_SALT', 'bitonomi_com');define('WP_REDIS_SELECTIVE_FLUSH', true);步骤2:修改Redis数据库的序号# 修改文件的路径 /www/wwwroot/test50/wp-content/plugins/redis-cache/includes/object-cache.php # 修改的行号 6
-
重置wordpress密码
步骤1:在wordpress站点的根目录下,新建一个password-resetter.php文件,文件内容如下:<?phpinclude("wp-config.php");include("wp-blog-header.php");if (empty($_POST['emergency_pass'])) {?> <form method="post"> set admin password: <input name="emergency_pass" value="123456" type="text" /> <input type="submit"
-
修改Wordpress站点的访问地址格式
步骤1:设置wordpress伪静态在宝塔里面找到对应的站点,然后点击站点的【设置】,接着,点击【伪静态】,然后选择【wordpress】,然后点击保存,最后重启nginx服务器注意:这一步的作用是隐藏访问地址中的index.php步骤2:安装No Category Base插件注意:这一步的作用是隐藏访问地址中的category步骤3:设置固定链接格式步骤4:访问格式访问格式1(有二级分类):https://域名/一级分类/二级分类/文章ID访问格式2(没有二级分类):https://域名/一级分类/文章ID
-
解决xmlrpc.php让网站服务器资源消耗量很大的问题
1 问题描述网站建设如果使用wordpress系统,今天对于我来说 是个战斗的日子,上午发布完文章后,很快360好搜就收录了,但在打开网页的时候,卡主了,没有反应,快速的重启Apache,马上恢复,但过了几分钟,网站又打不开,干脆重启服务器,问题得到解决,过了一会,悲剧再次发生,查看网站防护日志,原来有个IP不停的访问xmlrpc.php文件,造成服务器瘫痪,也就是说对方在放大型暴力猜解攻击,应该是传说中的xmlrpc暴力破解密码导致,原因在于使用的wordpress程序默认xmlrpc.php开启,而被用来DDOS攻击导致占用资源过高,果断把这个IP拉成黑名单,还是失败,下面分享一下解决方法
-
WordPress速度优化五种方法
WordPress是一个功能强大且广泛使用的内容管理系统,但如果网站加载速度较慢,可能会导致用户流失和搜索引擎排名下降。因此,优化WordPress网站的速度至关重要。那么WordPress速度如何优化,本文将介绍几种优化WordPress速度的方法,帮助大家提升网站性能和用户体验。1 使用缓存插件缓存插件可以大幅度减少页面加载时间。它们会将已经生成的页面存储起来,以便下次访问时直接提供,而无需重新生成。一些受推荐的WordPress缓存插件包括W3 Total Cache、WP Super Cac